Depois que este artigo for publicado, é provável que ele seja enviado em forma de newsletter para talvez alguns outros milhares de leitores, além daqueles que habitualmente frequentam as páginas do +QD, o portal Mais que Direito. Para isso, é preciso que dados tenham sido coletados, e-mails tenham sido transferidos para uma plataforma e ali fiquem armazenados.
Alguns anos atrás, essa operação costumava ser feita em planilhas de Excel que eram trocadas livremente entre áreas de empresa por e-mail. Planilhas que continham nome, endereço, RG, CPF e, muitas vezes, até dados bancários de clientes. E ficavam por anos abandonadas nas caixas de entrada de funcionários que sequer fariam qualquer uso daquela informação.
Se você leu isso e pensou: “mas isso ainda acontece na minha empresa”, você está em um enrosco sério. E as multas podem ser pesadas. Em agosto de 2018, foi aprovada no Brasil a Lei Geral de Proteção de Dados, a LGPD, e por mais alheio que você seja ao noticiário você já deve ter ouvido falar da sigla. A lei levou dois anos para entrar em vigor, período em que as empresas puderam se adaptar.
E, até o final de fevereiro de 2023, não havia definição exata sobre o que de fato ocorreria com quem não cumprisse as regras.
Regras para todos
Vou ser claro. A lei se aplica a toda e qualquer empresa em funcionamento no Brasil.
Independentemente de porte, setor ou regime fiscal, nenhuma empresa no Brasil pode usar dados de cidadãos brasileiros de forma indevida e, se o fizer, vai pagar multas que podem quebrar a companhia.
As grandes empresas saíram correndo para se adequar à nova legislação assim que ela foi publicada, o que não quer dizer que todo mundo esteja pronto.
Mas uma imensidão de micro, pequenas e médias, justamente aquelas que têm menos condições de compreender o que diz a lei, ou de contratar um especialista para apoiar no processo de adequação, continuam sujeitas a sanções, que vão de advertências a pesadas multas.
Na prática, a LGPD é democrática ao abranger todos os CNPJs e proteger 100% dos cidadãos, mas não na oferta de soluções práticas de conformidade para todos.
Possibilidades para alguns
O assunto não é simples. Uma planilha de Excel para listar os clientes e seus dados todo mundo tem. Essa ferramenta se tornou corrente há décadas e, por pouco mais de R$ 200, qualquer empresa pode comprar um pacote Office. Mas quem pode se dar ao luxo de contratar um DPO (Data Protection Officer), ou o profissional encarregado de garantir que a empresa esteja dentro da lei, uma das exigências da LGPD?
E só piora. Em 27 de fevereiro deste ano, a ANPD (Autoridade Nacional de Proteção de Dados) – responsável por fiscalizar o cumprimento da LGPD, orientar as empresas e os cidadãos sobre a lei – publicou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas. O nome já não é simples para quem não é da área.
Trocando em miúdos, a resolução divide as infrações à LGPD em leve, média e grave, ou seja, cria uma dosagem. Depois determina como essas empresas serão punidas. Quem comete uma infração grave, por exemplo, não pode levar apenas uma advertência.
Uma vez que a infração seja dosada, a ANPD vai determinar se existem fatores que possam atenuar ou agravar a situação. Na prática, se a empresa já cometeu alguma infração anterior, por exemplo, isso piora a situação. Mas se a empresa tem boas práticas ou adota procedimentos para reduzir os danos, isso pode reduzir as punições.
A partir daí, a ANPD determina as sanções que devem ser aplicadas.
Mas afinal de contas, a LGPD afeta a sua empresa?
Aí vem uma série de perguntas difíceis de responder. Especialmente para as MPMEs. Como resolver? Vai ser preciso contratar mais gente? Haverá outros custos? Os processos e fluxos de trabalho vão mudar? Tudo isso vale o custo-benefício ou é possível arriscar, imaginando que a ANPD não vai ter braços para fiscalizar todo mundo?
Vou começar tratando do último ponto. O risco é altíssimo. E não fazer nada já tira da empresa todos os fatores atenuantes e pode criar agravantes. Claro que a decisão é sempre do líder, mas parece no mínimo imprudente.
Para os pequenos, a primeira saída é a informação. O letramento jurídico precisa ser encarado como uma barreira importante a ser enfrentada por todos, especialmente por quem trabalha com a lei.
É necessário que possamos democratizar o acesso ao conteúdo jurídico como forma de produzir uma sociedade mais transparente e democrática.
Tecnologia
A democratização do conhecimento virá inclusive pelo uso da tecnologia. Em nosso escritório, credenciamos a empresa EMX e o Gestão X para esse fim. Outros softwares serão criados, e a concorrência nesse caso será positiva e permitirá que mais pequenas e micro empresas possam cumprir as exigências da ANPD sem que precisem fazer grandes aportes financeiros, de forma eficiente.
A tecnologia hoje já desempenha um papel fundamental na proteção de dados. Com o aumento da digitalização e da quantidade de informações pessoais e sensíveis armazenadas online, a segurança dos dados se tornou uma preocupação crítica para empresas, organizações e indivíduos.
A seguir listo algumas das principais formas pelas quais a tecnologia se torna cada vez fundamental:
- Criptografia de dados
- Autenticação e controle de acesso
- Firewall e segurança de rede
- Monitoramento e detecção de ameaças
- Atualizações e patches de segurança
- Backup e recuperação de dados
- Privacidade por design
- Conformidade regulatória
- Educação e conscientização
- Análise de dados para segurança
Em resumo, a tecnologia já desempenha um papel crítico na proteção de dados, permitindo a implementação de medidas de segurança robustas e a adaptação contínua às ameaças em evolução, mas ainda com maior robustez nas grandes empresas.
É essencial democratizar o uso da tecnologia para micro, pequenas e até médias empresas, para garantir a confidencialidade, segurança e integridade dos processos e adequação à lei, além da disponibilidade dos dados em um mundo cada vez mais digitalizado.